DDoS 부터/IP 스트레서란? | DDoS 공격 도구

SaaS 서비스로 패키지된 DDoS 공격은 IP 스트레서 덕분에 저렴한 비용으로 사용할 수 있습니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 부터 및 IP 스트레서에 관해 자세히 알아보기
  • DDoS 공격 도구에 관해 자세히 알아보기
  • 비즈니스 모델로서의 범죄에 관해 자세히 알아보기

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

IP 스트레서란?

IP 스트레서는 네트워크 또는 서버의 견고성을 테스트하기 위해 설계된 도구입니다. 관리자는 기존 리소스(대역폭, CPU 등)가 추가 로드를 처리하기에 충분한지 판단하기 위해 스트레스 테스트를 실행할 수 있습니다.

스트레서를 자체 네트워크 또는 서버 테스트에 사용하는 것은 합법적인 사용에 해당합니다. 다른 사용자의 네트워크 또는 서버에 대해 테스트를 실행하면 합법적인 사용자에게 서비스 거부가 발생하는 일이 생기므로 대부분의 국가에서 이러한 테스트는 불법입니다.

부터 서비스란?

부스터 서비스라고도 알려진 부터는 웹 사이트와 네트워크를 가동 중지시키기 위해 기업 범죄자들이 제공하는 주문형 DDoS(분산 서비스 거부) 공격 서비스입니다. 달리 말하면, 부스터는 IP 스트레서의 불법적인 사용에 해당하는 것입니다.

불법적인 IP 스트레서는 프록시 서버를 사용하여 공격 서버의 신원을 모호하게 만드는 경우가 많습니다. 프록시는 공격자의 IP 주소를 마스킹하며 공격자의 연결을 다시 라우팅합니다.

부스터는 흔히 이메일 지원 및 YouTube 튜토리얼과 함께 SaaS(Software-as-a-Service)로 매끄럽게 패키징됩니다. 패키지는 일회용 서비스, 정의된 기간 내에 여러 번 공격 또는 심지어 “수명” 기간 내내 액세스할 수 있는 기능을 제공할 수 있습니다. 기본 1개월 패키지의 가격은 최소 19.99달러입니다. 결제 옵션으로 신용카드, Skrill, PayPal 또는 비트코인 등을 사용할 수 있습니다(단, PayPal은 악의적인 의도가 증명될 경우 계정을 정지시킵니다).

IP 부터는 봇넷과 어떻게 다릅니까?

봇넷은 소유자가 자신의 컴퓨터가 맬웨어에 감염되어 인터넷 공격에 사용되고 있다는 것을 인식하지 못하고 있는 컴퓨터의 네트워크입니다. 부스터는 DDoS 공격 대행 서비스입니다.

본래 부터는 공격을 시작하는 데 봇넷을 사용했지만, 부터가 점점 더 정교해지면서 일부 부터 서비스에서 “공격을 시작하는 데 도움을 드립니다”라고 표현하듯 더 강력한 서버를 자랑하고 있습니다.

서비스 거부 공격의 동기는 무엇입니까?

서비스 거부 공격에는 해킹 기술을 키우려는 스키디*의 시도, 비즈니스 경쟁, 이념 갈등, 정부 지원 테러, 또는 강탈 등 다양한 동기가 있습니다. PayPal과 신용카드는 강탈 공격을 위해 선호되는 지불 방식이며, 신원을 감출 수 있다는 이유로 Bitcoin도 자주 사용됩니다. Bitcoin의 단점이 있다면 공격자의 관점에서 볼 때 다른 형태의 결제 방식에 비해 사용자가 적다는 것입니다.

*스크립트 키디 또는 스키디는 타인이 작성한 스크립트나 프로그램을 사용하여 네트워크나 웹사이트를 공격하는, 상대적으로 숙련도가 낮은 인터넷 범죄자를 경멸적으로 부르는 용어입니다. 이들은 종종 결과를 생각하지 않고 비교적 잘 알려져 있고 쉽게 악용할 수 있는 보안 취약성을 공격합니다.

증폭 및 반사 공격이란 무엇입니까?

반사 및 증폭 공격은 합법적인 트래픽을 이용해 표적이 된 네트워크나 서버를 압도합니다.

공격자가 피해자의 IP 주소를 위조하고 피해자인 척하면서 제3자에게 메시지를 전송하는 경우 이를 IP 주소 스푸핑이라고 합니다. 제3자는 피해자의 IP 주소와 공격자의 IP 주소를 구별할 방법이 없습니다. IP 주소 스푸핑은 피해자에게 직접 회신하는데, 공격자의 IP 주소는 피해자와 제3자 서버 양쪽 모두에게 숨겨져 있습니다. 이 과정을 반사라고 합니다.

이것은 본인인 척하면서 피해자의 집으로 피자를 주문하는 공격자와 비슷합니다. 이 경우 피해자는 자신이 주문하지 않은 피자에 대해 피자 가게에 돈을 내야 합니다.

트래픽 증폭은 공격자가 가능한 한 많은 데이터를 사용하여 제3자 서버가 피해자에게 강제로 응답을 되돌려 보내게 하는 경우에 발생합니다. 응답과 요청의 크기 사이의 비율은 증폭 계수라고 알려져 있습니다. 이러한 증폭이 클수록 피해자가 서비스 중단을 겪을 가능성도 커집니다. 처리해야 하는 스푸핑된 요청의 양으로 인해 제3자 서버 역시 중단됩니다. NTP 증폭은 이러한 공격의 한 가지 예입니다.

가장 효과적인 유형의 부터 공격은 증폭과 반사를 모두 사용합니다. 먼저 공격자는 목표물의 주소를 위조하여 제3자에게 메시지를 전송합니다. 제3자가 회신하면 메시지가 가짜 표적 주소로 이동합니다. 이 회신은 원래 메시지보다 훨씬 크고 이로 인해 공격 규모가 증폭됩니다.

이러한 공격에서 단일 의 역할은 식당에 전화를 걸어 메뉴 전체를 주문한 후에 메뉴의 모든 항목을 확인하는 답신 전화를 요청하는 장난과 비슷합니다. 다른 점은 답신 전화번호가 피해자의 번호라는 것입니다. 이로 인해 표적이 된 피해자가 자신이 요청하지 않은 정보의 폭주와 함께 식당으로부터 전화를 받게 되는 결과가 발생합니다.

서비스 거부 공격의 범주는 무엇입니까?

애플리케이션 계층 공격은 웹 애플리케이션을 공격할 때 대단히 정교한 기능을 사용하는 경우가 많습니다. 이러한 공격은 우선 표적과의 연결을 설정한 다음 프로세스와 트랜잭션을 독점하여 서버 리소스를 소진함으로써 계층 7 프로토콜 스택에 존재하는 약점을 악용합니다. 이는 식별과 완화가 어렵습니다. 일반적인 예는 HTTP 폭주 공격입니다.

프로토콜 기반 공격은 프로토콜 스택의 계층 3이나 4에 존재하는 약점을 악용하는 데 집중합니다. 이러한 공격은 피해자 또는 기타 중요 리소스(예: 방화벽)의 모든 프로세싱 용량을 소모하여 서비스 중단을 발생시킵니다. Syn 폭주Ping 사망이 이러한 공격의 예입니다.

볼류메트릭 공격은 대량의 트래픽을 전송하여 피해자의 대역폭을 포화 상태로 만듭니다. 볼류메트릭 공격은 단순한 증폭 기법을 사용하므로 생성하기 쉬워서 가장 일반적으로 공격에 이용됩니다. UDP 폭주, TCP 폭주, NTP 증폭, DNS 폭주가 이러한 공격의 대표적인 예입니다.

일반적인 서비스 거부 공격이란 무엇입니까?

DoS 또는 DDoS 공격의 목표는 시스템이 합법적인 요청에 응답하지 못할 정도로 서버나 네트워크의 리소스를 소모시키는 것입니다.

  • SYN 폭주: 표적 시스템을 압도하기 위해 SYN 요청이 연속적으로 표적 시스템으로 디렉션됩니다. 이 공격은 세 방향 핸드셰이크로 알려진 TCP 연결 시퀀스의 약점을 이용합니다.
  • HTTP 폭주: 웹 서버를 공격하기 위해 HTTP GET 또는 POST 요청을 사용하는 유형의 공격입니다.
  • UDP 폭주: UDP 데이터그램을 포함한 IP 패킷으로 표적의 무작위 포트를 압도적으로 공격하는 유형입니다.
  • Ping 사망: 일부러 IP 프로토콜이 허용하는 것보다 더 큰 IP 패킷을 전송합니다. TCP/IP 조각화가 큰 패킷을 작은 IP 패킷으로 작게 분해하여 처리하는데, 패킷을 합쳐 허용 가능한 65,536바이트보다 큰 경우 기존 서버가 충돌하는 경우가 많습니다. 이는 최신 시스템에서는 대부분 수정되었습니다. Ping 폭주는 이러한 공격의 최신 버전입니다.
  • ICMP 프로토콜 공격: ICMP 프로토콜 공격은 응답을 다시 전송하기 전에 각 요청이 서버에 의해 처리되어야 한다는 점을 이용합니다. Smurf 공격, ICMP 폭주, ping 폭주는 응답을 기다리지 않고 서버가 감당하지 못할 정도로 ICMP 요청을 보내는 방식을 씁니다.
  • Slowloris: Robert 'RSnake' Hansen이 개발한 이 공격은 표적 웹 서버에 대해 여러 연결을 가능한 한 오랫동안 개방 상태로 두게 합니다. 결국 클라이언트의 추가 연결 시도가 거부됩니다.
  • DNS 폭주: 특정 도메인에 대한 DNS 확인을 중단시키기 위해 해당 도메인DNS 서버에 폭주를 발생시킵니다.
  • Teardrop 공격: 분절된 패킷을 표적 장치로 보내는 공격입니다. TCP/IP 프로토콜에 존재하는 버그는 서버가 이러한 패킷을 재조립하지 못하게 막음으로써 패킷들이 겹치는 현상을 발생시킵니다. 표적이 된 장치는 충돌하게 됩니다.
  • DNS 증폭: 이 반사 기반 공격은 DNS(도메인 네임 시스템) 서버에 대한 합법적인 요청을 훨씬 큰 요청으로 바꾸며 그 과정에서 서버 리소스를 소모시킵니다.
  • NTP 증폭: UDP 트래픽의 양이 증폭된 표적 네트워크 또는 서버를 압도하기 위해 공격자가 NTP(Network Time Protocol) 서버 기능을 악용하는 반사 기반 볼류메트릭 DDoS 공격입니다.
  • SNMP 반사: 피해자의 IP 주소를 위조하고 여러 개의 SNMP(Simple Network Management Protocol) 요청을 장치에 폭주시킵니다. 응답의 양이 피해자를 압도할 수 있습니다.
  • SSDP: SSDP(Simple Service Discovery Protocol) 공격은 표적 피해자에게 증폭된 트래픽을 전송하기 위해 UPnP(Universal Plug and Play) 네트워킹 프로토콜을 이용하는 반사 기반 DDoS 공격입니다.
  • Smurf 공격: 이 공격은 Smurf라고 불리는 맬웨어 프로그램을 사용합니다. 피해자의 스푸핑된 IP 주소가 있는 대량의 ICMP(Internet Control Message Protocol) 패킷이 IP 브로드캐스트 주소를 사용하여 컴퓨터 네트워크에 브로드캐스트됩니다.
  • Fraggle 공격: 이 공격은 ICMP 대신 UDP를 사용한다는 것을 제외하면 Smurf와 유사합니다.

DDoS 강탈 공격이 발생할 경우 어떻게 해야 합니까?

  • 데이터 센터 및 ISP에 즉시 알려야 합니다.
  • 절대로 랜섬을 지불해서는 안 됩니다. 그러면 오히려 랜섬 요구가 증가하는 경우가 많습니다.
  • 사법 기관에 알려야 합니다.
  • 네트워크 트래픽을 모니터링해야 합니다
  • Cloudflare의 무료 요금제와 같은 DDoS 방어 요금제를 알아보세요.

봇넷 공격은 어떻게 완화될 수 있습니까?

  • 서버에 방화벽이 설치되어야 합니다.
  • 보안 패치가 최신 상태여야 합니다.
  • 안티바이러스 소프트웨어가 예정대로 실행되어야 합니다.
  • 시스템 로그가 정기적으로 모니터링되어야 합니다.
  • 알 수 없는 이메일 서버가 SMTP 트래픽을 배포하도록 허용해서는 안 됩니다.

부터 서비스를 추적하기 어려운 이유는 무엇입니까?

이러한 범죄 서비스를 구매하는 사람은 프런트엔드 웹 사이트를 이용해 지불을 하고 공격 지침을 따릅니다. 따라서 실제 공격을 개시하는 백엔드와 식별 가능한 연관성이 없는 경우가 매우 많습니다. 지불 경로를 추적하는 것이 범죄자들을 찾아내는 한 가지 방법입니다.